Lenovo emite una alerta de seguridad relacionada con 70 modelos de portátiles que son vulnerables. Las fallas de firmware son una ocurrencia típica.
Lenovo emite una alerta de seguridad relacionada con 70 modelos de portátiles que son vulnerables
Lenovo ha revelado que más de 70 de sus modelos de portátiles son vulnerables a un error UEFI/BIOS que podría provocar la ejecución de código arbitrario en una alerta de seguridad.
Los investigadores de la empresa de ciberseguridad ESET encontraron tres vulnerabilidades de desbordamiento de búfer.
Según el tweet de ESET, las fallas se pueden usar para ejecutar código arbitrario durante el proceso de arranque de la plataforma, lo que brinda a los atacantes el potencial de controlar el flujo de ejecución del sistema operativo y deshabilitar mecanismos de seguridad cruciales.
“La causa raíz de estas vulnerabilidades fue la validación insuficiente del parámetro DataSize proporcionado al método GetVariable de UEFI Runtime Services. Un atacante podría crear una variable NVRAM especialmente construida, lo que provocaría un desbordamiento del búfer de datos en la segunda llamada GetVariable”, continuó.
Retbleed es un nuevo exploit de ejecución especulativa que afecta a dispositivos con CPU Intel y AMD, y Lenovo también ha advertido a los usuarios al respecto.
Un par de vulnerabilidades que afectan a numerosos productos que utilizan el motor de administración del servidor XClarity Controller también se abordaron en un aviso de la empresa. Estos errores podrían dar a los usuarios autorizados la capacidad de interrumpir los servicios o establecer conexiones no autorizadas a los internos.
Las fallas de firmware son una ocurrencia típica
Los investigadores han encontrado vulnerabilidades en componentes de terceros utilizados por numerosos fabricantes, aunque algunos de ellos son específicos de los productos de un solo proveedor.
Por ejemplo, el código de firmware InsydeH2O UEFI es utilizado por más de 25 proveedores, como HP, Lenovo, Fujitsu, Microsoft, Intel, Dell, Bull y Siemens, y recientemente se ha demostrado que incluye más de dos docenas de vulnerabilidades.
Puede pasar algún tiempo hasta que los fabricantes adopten los remedios y lleguen a millones de usuarios finales, a pesar de que Insyde Software, la compañía que fabrica InsydeH2O, corrigió las vulnerabilidades tan pronto como Binarly los contactó. Recientemente, el fabricante de las computadoras portátiles Framework modulares y actualizables les informó a los usuarios sobre la existencia de remedios para estos problemas.
Si posee una computadora portátil Lenovo, continúe y verifique si el modelo de su dispositivo figura entre los 70 modelos afectados utilizando este enlace.
